9.7.5. Bad Ephemeral Randomness (不良なエフェメラル乱数性)

9.7.5. 不良なエフェメラル乱数性

KEM カプセル化に使用される乱数性が悪い場合 -- つまり, 低エントロピーであるか, 壊れたまたは転覆された乱数生成器のために侵害されている場合 -- HPKE の機密性保証は大幅に低下します。Base モードでは, 機密性保証は完全に失われる可能性があり, 他のモードでは, 少なくとも送信者の侵害に関する前方秘匿性が完全に失われる可能性があります。

このような状況は, 同じ KEM 共有秘密の再利用につながり, したがって AEAD の同じ鍵-ノンスペアの再利用につながる可能性もあります。この文書で指定されている AEAD は, ノンスの再利用の場合には安全ではありません。この攻撃ベクトルは, エフェメラル乱数性を知っているだけでは認証モードで shared_secret を導出するのに十分ではないため, 認証モードで特に関連性があります。

アプリケーションが不良なエフェメラル乱数性の影響を緩和する1つの方法は, [RFC8937] で説明されているように, エフェメラル乱数性と安全に生成されたローカルの長期秘密を組み合わせることです。